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Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik 
des Bundes 


A. Problem 

Die Bedeutung der Informations- und Kommunikationstechnologie (IKT) hat 
sich in den vergangenen Jahren stark gewandelt: Sie ist mittlerweile Vorausset- 
zung für das Funktionieren des Gemeinwesens. Ohne funktionierende IKT- 
Strukturen ist die Versorgung mit Energie oder Wasser gefährdet, fallen wichtige 
Infrastrukturen (z. B. Verkehrsmittel, bargeldlose Zahlungswege von der Laden- 
kasse bis zur Rentenzahlung) aus. Angriffe auf IKT-Infrastrukturen können auch 
Unfälle mit unmittelbaren Auswirkungen auf Leben und Gesundheit vieler 
Menschen auslösen, z. B. durch gezieltes Umgehen von eingebauten Sicher- 
heitsmaßnahmen. Schwachstellen in IKT-Infrastrukturen werden auch zur Wirt- 
schafts-, Industrie- und Forschungsspionage genutzt, mit unmittelbaren Auswir- 
kungen auf den Wohlstand und letztlich die innere Sicherheit Deutschlands. Die 
Sicherheit der Informationstechnik (IT) ist damit ein wesentlicher Bestandteil 
der inneren und äußeren Sicherheit der Bundesrepublik Deutschland. 

Auch die Verwaltung ist auf sichere und verfügbare Kommunikationstechnik 
angewiesen. Die zunehmende Vernetzung gewachsener IT-Strukturen verknüpft 
dabei sehr inhomogene IT-Systeme miteinander. Dies erschwert es, einheitliche 
Sicherheitsstandards einzuführen und birgt damit die Gefahr, dass Schwachstel- 
len an einer Stelle ein Eindringen in die IT-Systeme einer Vielzahl von Behörden 
ermöglichen. Dieser Gefahr kann nur durch die Festlegung einheitlicher und 
strenger Sicherheitsstandards durch eine zentrale Stelle begegnet werden. 


B. Lösung 

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sollen Befug- 
nisse eingeräumt werden, technische Vorgaben für die Sicherung der Informa- 
tionstechnik in der Bundesverwaltung zu machen und Maßnahmen umzusetzen, 
um Gefahren für die Sicherheit der Informationstechnik des Bundes abzuweh- 
ren. Als zentrale Meldestelle für IT-Sicherheit sammelt das BSI Informationen 
über Sicherheitslücken und neue Angriffsmuster, wertet diese aus und gibt In- 
formationen und Warnungen an die betroffenen Stellen oder die Öffentlichkeit 
weiter. 
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Annahme des Gesetzentwurfs in geänderter Fassung mit den Stimmen der 
Fraktionen der CDU/CSU und SPD gegen die Stimmen der Fraktionen 
FDP, DIE LINKE, und BÜNDNIS 90/DIE GRÜNEN 


C. Alternativen 

Keine 


D. Finanzielle Auswirkungen auf die öffentlichen Haushalte 

1 . Haushaltsausgaben ohne Vollzugsaufwand 
Keine 

2. Vollzugsaufwand 

Die neu zu schaffenden Befugnisse des BSI sind mit einem entsprechenden Voll- 
zugsaufwand verbunden. Dessen Umfang und damit die Höhe der Vollzugskos- 
ten sind maßgeblich von der zukünftigen Entwicklung der IT- Sicherheitslage 
abhängig und insoweit nur schwer zu beziffern. Den Großteil der zukünftig an- 
fallenden administrativen Aufgaben erfüllt das BSI bereits heute in Form unver- 
bindlicher Beratungsangebote und im Rahmen von Amtshilfeersuchen. Bei un- 
veränderter Sicherheitslage ist daher nur mit einer geringfügigen Erhöhung des 
Vollzugsaufwands zu rechnen. 

Für die Wahrnehmung der übertragenen neuen Aufgaben aufgrund des Gesetzes 
über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) benötigt 
das BSI ca. zehn zusätzliche Planstellen/Stellen sowie Personal- und Sachkosten 
in Höhe von ca. 1 180 000 Euro jährlich. Die Bundesnetzagentur für Elektrizität, 
Gas, Telekommunikation, Post und Eisenbahnen (BNetzA) benötigt für die 
Wahrnehmung der in § 109 des Telekommunikationsgesetzes (TKG) definierten 
neuen Aufgaben zusätzlich drei Planstellen des gehobenen technischen Dienstes 
sowie Personal- und Sachkosten in Höhe von ca. 300 000 Euro jährlich. Die 
Kosten werden Gegenstand der Haushaltsaufstellung 2010 sein. 


E. Sonstige Kosten 

Für Leistungen gegenüber der Wirtschaft im Rahmen der Zertifizierungsverfah- 
ren fallen wie bisher Kosten nach der BSl-Kostenverordnung an. 


F. Bürokratiekosten 

Das Gesetz enthält fünf neue Informationspfiichten für die Verwaltung. Durch 
den hier vorgesehenen Informationsaustausch können Synergieeffekte genutzt 
und der Aufbau paralleler Strukturen beim BSI und anderen Behörden vermie- 
den werden. Von den bestehenden Regelungsalternativen wurde hier insoweit 
die kostengünstigste gewählt. Neue Informationspfiichten für die Wirtschaft 
sind nicht vorgesehen. Informationspfiichten für Bürgerinnen und Bürger ent- 
stehen nicht. 
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Beschlussempfehlung 


Der Bundestag wolle beschließen, 

den Gesetzentwurf auf Drucksache 16/11967 mit folgenden Maßgaben, im Üb- 
rigen unverändert anzunehmen: 

1 . Artikel 1 wird wie folgt geändert: 
a) § 5 wird wie folgt geändert: 

aa) Absatz 2 wird wie folgt geändert: 

aaa) Nach Satz 2 wird folgender Satz eingefügt: 

„Die Daten sind zu pseudonymisieren, soweit dies automatisiert 
möglich ist.“ 

bbb) Nach dem neuen Satz 4 werden folgende Sätze angefügt: 

„Soweit hierzu die Wiederherstellung des Personenbezugs pseu- 
donymisierter Daten erforderlich ist, muss diese durch den Prä- 
sidenten des Bundesamtes angeordnet werden. Die Entschei- 
dung ist zu protokollieren.“ 

bb) Absatz 3 wird wie folgt gefasst: 

„(3) Eine über die Absätze 1 und 2 hinausgehende Verwendung per- 
sonenbezogener Daten ist nur zulässig, weim bestimmte Tatsachen 
den Verdacht begründen, dass 

1 . diese ein Schadprogramm enthalten, 

2. diese durch ein Schadprogramm übermittelt wurden oder 

3. sich aus ihnen Hinweise auf ein Schadprogramm ergeben können, 

und soweit die Datenverarbeitung erforderlich ist, um den Verdacht zu 
bestätigen oder zu widerlegen. Im Falle der Bestätigung ist die weitere 
Verarbeitung personenbezogener Daten zulässig, soweit dies 

1 . zur Abwehr des Schadprogramms, 

2. zur Abwehr von Gefahren, die von dem aufgefundenen Schadpro- 
gramm ausgehen oder 

3. zur Erkennung und Abwehr anderer Schadprogramme erforderlich 
ist. 

Ein Schadprogramm kann beseitigt oder in seiner Funktionsweise ge- 
hindert werden. Die nicht automatisierte Verwendung der Daten nach 
den Sätzen 1 und 2 darf nur durch einen Bediensteten des Bundesam- 
tes mit der Befähigung zum Richteramt angeordnet werden.“ 

cc) Nach Absatz 3 wird folgender Absatz eingefügt: 

„(4) Die Beteiligten des Kommunikationsvorgangs sind spätestens 
nach dem Erkennen und der Abwehr eines Schadprogramms oder von 
Gefahren, die von einem Schadprogramm ausgehen, zu benachrichti- 
gen, wenn sie bekannt sind oder ihre Identifikation ohne unverhältnis- 
mäßige weitere Ermittlungen möglich ist und nicht überwiegende 
schutzwürdige Belange Dritter entgegenstehen. Die Unterrichtung 
kaim unterbleiben, wenn die Person nur unerheblich betroffen wurde, 
und anzunehmen ist, dass sie an einer Benachrichtigung kein Interesse 
hat. Das Bundesamt legt Fälle, in denen es von einer Benachrichti- 
gung absieht, dem behördlichen Datenschutzbeauftragten des Bun- 
desamtes sowie einem weiteren Bediensteten des Bundesamtes, der 
die Befähigung zum Richteramt hat, zur Kontrolle vor. Der behördli- 
che Datenschutzbeauftragte ist bei Ausübung dieser Aufgabe wei- 
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sungsfrei und darf deswegen nicht benachteiligt werden (§ 4f Ab- 
satz 3 des Bundesdatenschutzgesetzes). Wenn der behördliche Daten- 
schutzbeauftragte der Entscheidung des Bundesamtes widerspricht, 
ist die Benachrichtigung nachzuholen. Die Entscheidung über die 
Nichtbenachrichtigung ist zu dokumentieren. Die Dokumentation darf 
ausschließlich für Zwecke der Datenschutzkontrolle verwendet wer- 
den. Sie ist nach zwölf Monaten zu löschen, ln den Fällen der Ab- 
sätze 5 und 6 erfolgt die Benachrichtigung durch die dort genaimten 
Behörden in entsprechender Anwendung der für diese Behörden gel- 
tenden Vorschriften. Enthalten diese keine Bestimmungen zu Benach- 
richtigungspflichten, sind die Vorschriften der Strafprozessordnung 
entsprechend anzuwenden.“ 

dd) In dem neuen Absatz 5 Satz 1 werden die Wörter „einer Straftat von 
erheblicher Bedeutung oder einer mittels Telekommunikation began- 
genen Straftat“ durch die Wörter „einer mittels eines Schadpro- 
gramms begangenen Straftat nach den §§ 202a, 202b, 303a oder 303b 
des Strafgesetzbuchs“ ersetzt. 

ee) Der neue Absatz 6 wird wie folgt gefasst: 

„(6) Für sonstige Zwecke kann das Bundesamt die Daten übermit- 
teln 

1 . an die Strafverfolgungsbehörden zur Verfolgung einer Straftat von 
auch im Einzelfall erheblicher Bedeutung, insbesondere einer in 
§ 100a Absatz 2 der Strafprozessordnung bezeichneten Straftat, 

2. an die Polizeien des Bundes und der Länder zur Abwehr einer 
Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, 
Leben oder Freiheit einer Person oder Sachen von bedeutendem 
Wert, deren Erhalt im öffentlichen Interesse geboten ist, 

3. an die Verfassungsschutzbehörden des Bundes und der Länder, 
wenn tatsächliche Anhaltspunkte für Bestrebungen in der Bundes- 
republik Deutschland vorliegen, die durch Anwendung von Gewalt 
oder darauf gerichtete Vorbereitungshandlungen gegen die in § 3 
Absatz 1 des Bundesverfassungsschutzgesetzes genaimten Schutz- 
güter gerichtet sind. 

Die Übermittlung nach Satz 1 Nummer 1 und 2 bedarf der vorherigen 
gerichtlichen Zustimmung. Für das Verfahren nach Satz 1 Nummer 1 
und 2 gelten die Vorschriften des Gesetzes über das Verfahren in Fa- 
miliensachen und in den Angelegenheiten der freiwilligen Gerichts- 
barkeit entsprechend. Zuständig ist das Amtsgericht, in dessen Bezirk 
das Bundesamt seinen Sitz hat. Die Übermittlung nach Satz 1 Num- 
mer 3 erfolgt nach Zustimmung des Bundesministeriums des Innern; 
die §§ 9 bis 16 des Artikel- 10-Gesetzes gelten entsprechend.“ 

ff) Der neue Absatz 7 wird wie folgt geändert: 
aaa) Nach Satz 1 wird folgender Satz eingefügt: 

„Soweit möglich, ist technisch sicherzustellen, dass Daten, die 
den Kernbereich privater Lebensgestaltung betreffen, nicht er- 
hoben werden.“ 

bbb) Der neue Satz 5 wird wie folgt gefasst: 

„Dies gilt auch in Zweifelsfällen.“ 
ccc) Folgender Satz wird angefügt: 

„Werden im Rahmen der Absätze 4 oder 5 Inhalte oder Umstän- 
de der Kommunikation von in § 53 Absatz 1 Satz 1 der Strafpro- 
zessordnung genannten Personen übermittelt, auf die sich das 
Zeugnisverweigerungsrecht der genannten Personen erstreckt. 
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ist die Verwertung dieser Daten zu Beweiszwecken in einem 
Strafverfahren nur insoweit zulässig, als Gegenstand dieses 
Strafverfahrens eine Straftat ist, die im Höchstmaß mit mindes- 
tens fünf Jahren Freiheitsstrafe bedroht ist.“ 

gg) ln dem neuen Absatz 8 wird nach Satz 2 folgender Satz eingefügt; 

„Die für die automatisierte Auswertung verwendeten Kriterien sind zu 
dokumentieren.“ 

hh) Folgende Absätze 9 und 10 werden angefügt; 

„(9) Das Bundesamt unterrichtet den Bundesbeauftragten für den 
Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis 
zum 30. Juni des dem Berichtsjahr folgenden Jahres über 

1 . die Anzahl der Vorgänge, in denen Daten nach Absatz 5 Satz 1 , Ab- 
satz 5 Satz 2 Nummer 1 oder Absatz 6 Nummer 1 übermittelt wur- 
den, aufgegliedert nach den einzelnen Übermittlungsbefugnissen, 

2. die Anzahl der personenbezogenen Auswertungen nach Absatz 3 
Satz 1 , in denen der Verdacht widerlegt wurde, 

3. die Anzahl der Fälle, in denen das Bundesamt nach Absatz 4 Satz 2 
oder 3 von einer Benachrichtigung der Betroffenen abgesehen hat. 

(10) Das Bundesamt unterrichtet kalenderjährlich jeweils bis zum 
30. Juni des dem Berichtsjahr folgenden Jahres den Innenausschuss 
des Deutschen Bundestages über die Anwendung dieser Vorschrift.“ 

b) In § 6 Satz 3 wird die Angabe „6“ durch die Angabe „7“ ersetzt. 

c) In § 7 Absatz 1 wird nach Satz 1 folgender Satz eingefügt: 

„Die Hersteller betroffener Produkte sind rechtzeitig vor Veröffentlichung 
von diese Produkte betreffenden Warnungen zu informieren, sofern hier- 
durch die Erreichung des mit der Maßnahme verfolgten Zwecks nicht ge- 
fährdet wird.“ 

d) § 8 Absatz 3 wird wie folgt geändert: 

aa) Nach Satz 1 wird folgender Satz eingefügt: 

„IT-Sicherheitsprodukte köimen nur in begründeten Ausnahmefällen 
durch eine Eigenentwicklung des Bundesamtes zur Verfügung gestellt 
werden.“ 

bb) ln dem neuen Satz 7 wird die Angabe „4 und 5“ durch die Angabe 
„5 und 6“ ersetzt. 

2. Artikel 3 wird aufgehoben. 

3. Der bisherige Artikel 4 wird Artikel 3. 


Berlin, den 27. Mai 2009 


Der Innenausschuss 


Sebastian Edathy Clemens Binninger Frank Hofmann (Volkach) 

Vorsitzender Berichterstatter Berichterstatter 


Gisela Piltz Ulla Jelpke 

B erichters tatterin B erichterstatterin 


Wolfgang Wieland 

Berichterstatter 


Drucksache 16/13259 


-6- 


Deutscher Bundestag — 16. Wahlperiode 


Bericht der Abgeordneten Clemens Binninger, Frank Hofmann (Volkach), Gisela 
Piltz, Ulla Jelpke und Wolfgang Wieland 


I. Zum Verfahren 

1. Überweisung 

Der Gesetzentwurf auf Drucksaehe 16/11967 und die Ge- 
genäußerung der Bundesregierung zu der Stellungnahme des 
Bundesrates auf Drueksache 16/12225 wurden in der 
211. Sitzung des Deutschen Bundestages am 19. März 2009 
an den Innenausschuss federführend sowie an den Rechts- 
ausschuss, den Ausschuss für Wirtschaft und Technologie, 
den Verteidigungsausschuss und den Ausschuss für Kultur 
und Medien zur Mitberatung überwiesen. 

2. Voten der mitberatenden Ausschüsse 

Der Rechtsausschuss hat in seiner 144. Sitzung am 27. Mai 
2009 mit den Stimmen der Fraktionen der CDU/CSU und 
SPD gegen die Stimmen der Fraktionen FDP, DIE LINKE, 
und BÜNDNIS 90/DlE GRÜNEN die Annahme des Gesetz- 
entwurfs in der Fassung des Änderungsantrags der Koali- 
tionsfraktionen der CDU/CSU und SPD auf Ausschuss- 
drucksache 16(4)620 empfohlen. 

Der Ausschuss für Wirtschaft und Technologie hat in sei- 
ner 95. Sitzung am 27. Mai 2009 mit den Stimmen der 
Fraktionen der CDU/CSU und SPD gegen die Stimmen der 
Fraktionen FDP und DIE LINKE, bei Stimmenthaltung der 
Fraktion BÜNDNIS 90/DtE GRÜNEN empfohlen, den Ge- 
setzentwurf in der Fassung des Änderungsantrags der Koali- 
tionsfraktionen anzunehmen. 

Der Verteidigungsausschuss hat in seiner 107. Sitzung am 
27. Mai 2009 mit den Stimmen der Fraktionen der CDU/ 
CSU und SPD gegen die Stimmen der Fraktionen FDP, DIE 
LINKE, und BÜNDNIS 90/DlE GRÜNEN die Annahme 
des Gesetzentwurfs in der Fassung des Änderungsantrags 
der Koalitionsfraktionen empfohlen. 

Der Ausschuss für Kultur und Medien hat in seiner 80. Sit- 
zung am 27. Mai 2009 mit den Stimmen der Fraktionen der 
CDU/CSU und SPD gegen die Stimmen der Fraktionen FDP, 
DIE LINKE, und BÜNDNIS 90/DlE GRÜNEN empfohlen, 
den Gesetzentwurf in der Fassung des Änderungsantrags der 
Koalitionsfraktionen anzunehmen. 

3. Beratungen im federführenden Ausschuss 

Der Innenausschuss hat in seiner 89. Sitzung am 25. März 
2009 beschlossen, eine öffentliche Anhörung zum Gesetz- 
entwurf auf Drucksache 16/11967 durchzuführen. 

Die öffentliche Anhörung, an der sich sieben Sachverständi- 
ge beteiligt haben, hat der Innenausschuss in seiner 94. Sit- 
zung am 1 1 . Mai 2009 durchgeführt. Hinsichtlich des Ergeb- 
nisses wird auf das Protokoll Nr. 16/94 hingewiesen. 

Der Innenausschuss hat den Gesetzentwurf auf Drucksache 
16/11967 in seiner 98. Sitzung am 27. Mai 2009 abschlie- 
ßend beraten. Als Ergebnis der Beratungen wurde mit den 
Stimmen der Fraktionen der CDU/CSU und SPD gegen die 
Stimmen der Fraktionen FDP, DIE LINKE, und BÜNDNIS 
90/DIE GRÜNEN empfohlen, den Gesetzentwurf der Bun- 


desregierung auf Drucksache 16/11967 in der Fassung des 
Änderungsantrags der Koalitionsfraktionen auf Ausschuss- 
drucksache 1 6(4)620 anzunehmen. Zuvor wurde der Ände- 
rungsantrag der Koalitionsfraktionen auf Ausschussdruck- 
sache 16(4)620 mit den Stimmen der Fraktionen der CDU/ 
CSU und SPD gegen die Stimmen der Fraktion der FDP 
bei Stimmenthaltung der Fraktionen DIE LINKE, und 
BÜNDNIS 90/DIE GRÜNEN angenommen. 

II. Zur Begründung 

1. Zur Begründung wird allgemein auf Drucksache 
16/11967 hingewiesen. Die vom Innenausschuss auf 
Grundlage des Änderungsantrags der Koalitionsfraktio- 
nen auf Ausschussdrucksache 16(4)620 empfohlenen 
Änderungen begründen sich wie folgt: 

Zu Nummer 1 

Zu Buchstabe a 

aa) Die nach Absatz 2 gespeicherten Protokolldaten sind 
durch technische und organisatorische Maßnahmen 
vor Missbrauch zu schützen. Hierzu gehört insbeson- 
dere, soweit mit vertretbarem Aufwand möglich, die 
Ersetzung von personenbezogenen Daten durch Pseu- 
donyme. Dies ist insbesondere hinsichtlich der in den 
Protokolldaten enthaltenen E-Mail-Adressen erfor- 
derlich, um die Erstellung von Kommunika- 
tionsprofilen zu verhindern. Um den Grundrechtsein- 
griff nicht zu vertiefen, soll die Pseudonymisierung 
automatisiert erfolgen. Eine Entpseudonymisierung 
darf nur erfolgen, weim dies für die Weiterverarbei- 
tung nach Maßgabe der nachfolgenden Absätze erfor- 
derlich ist. Dies ist der Fall bei bestätigten Verdachts- 
fällen hinsichtlich eines Schadprogramms, um die 
Betroffenen warnen und erforderliche weitere 
Schutzmaßnahmen ergreifen zu können, sowie zur 
Erfüllung der Benachrichtigungspflichten nach 
Absatz 3. Die Entpseudonymisierung ist durch den 
Präsidenten anzuordnen und zu protokollieren. 
Technisch kann dies durch Verschlüsselung der ent- 
sprechenden Datenfelder erfolgen. 

bb) Zur besseren Lesbarkeit wird der Absatz 3 in zwei 
Absätze aufgeteilt. 

cc) Da es sich bei den Maßnahmen nach § 5 nicht um ei- 
ne Personen- oder inhaltsbezogene heimliche Über- 
wachungsmaßnahme handelt, sondern lediglich um 
eine weitgehend automatisierte Suche nach techni- 
schen Schadfunktionen, bedarf die Durchführung der 
Aufgabe selbst nicht der richterlichen Anordnung. 
Um stattdessen eine nachträgliche Kontrolle hin- 
sichtlich der auch nichtautomatisert verwendeten 
Daten zu ermöglichen, kommt der Benachrichtigung 
der Betroffenen eine besondere Bedeutung zu. Von 
der Benachrichtigung darf, wie auch nach § 1 0 1 Ab- 
satz 4 der Strafprozessordnung (StPO), nur in beson- 
deren Ausnahmefällen abgewichen werden. Diese 
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Fälle sind dem behördlichen Datenschutzbeauftrag- 
ten sowie einem weiteren Mitarbeiter, der die Befähi- 
gung zum Richteramt hat, zur Kontrolle vorzulegen. 
Hält einer der beiden eine Benachrichtigung für er- 
forderlich, kann er die zuständigen Mitarbeiter oder 
die Behördenleitung hiervon in Kenntnis setzen. Der 
behördliche Datenschutzbeauftragte ist nach § 4f 
Absatz 3 des Bundesdatenschutzgesetzes (BDSG) in 
der Ausübung seines Amtes unabhängig. Die Letzt- 
entscheidung liegt beim behördlichen Datenschutz- 
beauftragten. Die Zahl der Fälle, in denen von einer 
Benachrichtigung abgesehen wird, unterliegt der Un- 
terrichtungspflicht nach den Absätzen 9 und 10. Die 
Nichtbenachrichtigung ist für die Zwecke der Daten- 
schutzkontrolle durch den Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit oder 
durch die Gerichte zu dokumentieren und zwölf 
Monate aufzubewahren. Diese Dokumentation darf 
nicht für andere Zwecke verwendet werden. 

dd) Für die zweckbewahrende Übermittlung von Ver- 
dachtsfällen nach Absatz 5 sind, anders als im Fall 
des § 100g Absatz 1 StPO, nicht alle mittels Tele- 
kommunikation begangenen Straftaten, sondern nur 
die Straftatbestände der §§ 202a, 202b, 303a oder 
303b StGB einschlägig, sofern sie mittels eines 
Schadprogramms begangen worden sind. 

ee) Die Übermittlung von Zufallsfunden soll höheren 
Schranken unterworfen sein als die zweckbewah- 
rende Übemiittlung bei Schadprogrammfunden. Ab- 
satz 6 sieht daher zusätzliche Schranken, insbeson- 
dere einen Richtervorbehalt vor. 

Dieser Systematik soll auch die Übermittlung zu 
Strafverfolgungszwecken unterworfen werden. Da- 
her wird die Übermittlungsbefugnis zur Verfolgung 
von Straftaten von erheblicher Bedeutung von Ab- 
satz 5 in Absatz 6 verschoben. Der Wortlaut ent- 
spricht § 100g Absatz 1 Nummer 1 StPO. 

Die Änderung in Satz 2 dient der Klarstellung. Der 
Rechtsbegriff der Zustimmung umfasst im bürgerli- 
chen Recht sowohl die Einwilligung (vorherige Zu- 
stimmung) als auch die Genehmigung (nachträgliche 
Zustimmung), vgl. Legaldefmitionen in § 183 Satz 1 
und § 184 Absatz 1 des Bürgerlichen Gesetzbuchs 
(BGB). Die Übermittlungsfälle des § 5 Absatz 6 be- 
dürfen allerdings der vorherigen Zustimmung. 

Da mit dem Auftreten erster Übermittlungsfalle auf- 
grund des voraussichtlichen Zeitpunktes des Inkraft- 
tretens nicht vor Anfang September 2009 zu rechnen 
ist, kann sogleich und ausschließlich auf das Gesetz 
über das Verfahren in Familiensachen und in den 
Angelegenheiten der freiwilligen Gerichtsbarkeit 
(FamFG) verwiesen werden. Das FamFG tritt am 
1 . September 2009 in Kraft und löst das Gesetz über 
die Angelegenheiten der freiwilligen Gerichtsbarkeit 
(FGG) ab. 

ff) Dass dem Bundesamt bei der Suche nach Schadpro- 
grammen kernbereichsrelevante Inhalte zur Kenntnis 
gelangen, ist unwahrscheinlich. Soweit möglich, 
sollte schon technisch sichergestellt werden, dass 
diese nicht erhoben werden (so auch § 20k Absatz 7 


Satz 2 BKAG). Um etwaige Eingriffe gleichwohl 
möglichst gering zu halten, sollen diese Inhalte un- 
verzüglich gelöscht werden. Dies soll auch dann ge- 
schehen, wenn Zweifel bestehen, ob die Inhalte kem- 
bereichsrelevant sind oder nicht. 

Für die Kommunikation von zeugnisverweigerungs- 
berechtigten Berufsgruppen mit der Bundesverwal- 
tung wird ein Beweisverwertungsverbot nach dem 
Vorbild des § 108 Absatz 3 StPO eingefügt. Anders 
als dort ist das Zeugnisverweigerungsrecht nicht auf 
Journalisten beschränkt. 

gg) Neben dem (abstrakten) Datenschutzkonzept sind 
auch die im Rahmen der automatisierten Auswertung 
konkret verwendeten Kriterien (Überprüfungsrouti- 
nen, Virensignaturen) zu dokumentieren. 

hh) Absatz 9 sieht zusätzliche Kontrollmöglichkeiten 
vor, indem eine Unterrichtungspflicht über die Zahl 
der zweckändemden Übermittlungen, der Fehltreffer 
(„false positives“) und der Fälle, in denen aufgrund 
der Ausnahmetatbestände des Absatzes 4 Satz 2 
und 3 von einer Benachrichtigung der Betroffenen 
abgesehen wurde, gegenüber dem Bundesbeauftrag- 
ten für den Datenschutz und die Informationsfreiheit 
geschaffen wird. 

Außerdem soll das Bundesamt nach Absatz 10 
jährlich den Ilmenausschuss umfänglich über die 
Umsetzung dieser Vorschrift, insbesondere die Be- 
drohungslage und die technische Entwicklung, unter- 
richten. Die Unterrichtung nach Absatz 10 beinhaltet 
auch die Zahlen nach Absatz 9. 

Zu Buchstabe b 

Folgeänderung wegen der Absatzaufspaltung in § 5. 

Zu Buchstabe c 

Nach dem in der IT- Wirtschaft geübten Prinzip der ver- 
antwortungsvollen Weitergabe („responsible disclosure“) 
werden in der Regel zunächst die Hersteller betroffener 
Produkte über entdeckte Sicherheitslücken infomiiert, 
um diesen Gelegenheit zu geben, Sicherheits-Updates zu 
entwickeln und ihren Kunden zur Verfügung zu stellen. 
Dieses Prinzip soll auch im Rahmen des § 7 Absatz 1 
Beachtung finden. Eine Vorabinformation Dritter, insbe- 
sondere der Öffentlichkeit, ist allerdings dann geboten, 
wenn der Zweck der Maßnahme sonst nicht erreicht wür- 
de (vgl. § 40 Absatz 3 des Lebensmittel- und Futtemiit- 
telgesetzbuchs). 

Zu Buchstabe d 

Aus Gründen der Wirtschaftlichkeit ist bei der Bereitstel- 
lung von IT-Sicherheitsprodukten grundsätzlich auf Pro- 
dukte abzustellen, die am Markt erworben werden kön- 
nen. Spezifische Anforderungen der Verwaltung an 
Funktion und Sicherheit bestimmter Produkte haben al- 
lerdings teilweise zur Folge, dass keine geeigneten Pro- 
dukte durch zuverlässige Hersteller am Markt angeboten 
werden. In solchen begründeten Ausnahmefällen kann 
das Bundesamt auch entsprechende Produkte selber ent- 
wickeln. 
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Zu den Nummern 2 und 3 

Aufgrund der besonderen Eilbedürftigkeit der übrigen 
Regelungen des Gesetzentwurfs wird die Änderung des 
Telemedienrechts im Rahmen dieses Gesetzgebungsvor- 
habens nicht weiterverfolgt. 

2. Die Koalitionsfraktionen der CDU/CSU und SPD be- 
tonen, der Bereich der Sicherheit in der Informations- 
technik habe in den letzten Jahren mit der technischen 
Entwicklung nicht Schritt gehalten. Deutschland sei nicht 
hinreichend gegen Hackerangriffe geschützt, die die In- 
frastruktur bedrohten. Die überfällige gesetzliche Rege- 
lung, die jetzt vorgelegt werde, sei im parlamentarischen 
Verfahren noch einmal verbessert worden und trage den 
wichtigsten Kritikpunkten Rechnung. So habe man sich 
darauf verständigt, die Änderung des Telemediengeset- 
zes in dieser Legislaturperiode nicht mehr weiter zu ver- 
folgen. Hier seien noch einmal vertiefte Erörterungen mit 
allen Beteiligten erforderlich. Des Weiteren werde durch 
den Gesetzentwurf auch keineswegs ermöglicht, den ge- 
samten Kommunikationsverkehr mit Bundesbehörden zu 
durchleuchten und jede E-Mail mitzulesen. Die Kontrolle 
erfolge vielmehr in einem automatisierten Verfahren, 
gleichsam in einer „Black-Box“. Nur wenn es Hinweise 
auf Schadprogramme gebe, erfolge eine Öffnung. Datei- 
en, die solche Hinweise enthielten, würden zudem pseu- 
donymisiert. Man habe auch die Übermittlung an andere 
Behörden durch den Verweis auf die Straftatbestände in 
§ 100a Absatz 2 StPO enger gefasst und den Schutz zeug- 
nisverweigerungsberechtigter Personen sowie die Be- 
nachrichtigungspflichten besser geregelt. 

Die Fraktion der FDP bezweifelt, dass der vorliegende 
Gesetzentwurf ein geeignetes Mittel sei, das durchaus be- 
grüßenswerte Ziel zu erreichen, kritische Infrastrukturen 
besser zu schützen. In der Anhörung hätten die Sachver- 


ständigen den Gesetzentwurf insofern einhellig als un- 
tauglich angesehen. Auch wenn einige Erkenntnisse of- 
fenbar in den Änderungsantrag eingeflossen seien, bleibe 
bedauerlich, dass es keine hinreichende Pflicht zur Infor- 
mation der Öffentlichkeit gebe, dass man - wie in ande- 
ren Sicherheitsgesetzen - unklare und zu weit reichende 
Formulierungen verwendet habe und dass Berufsgeheim- 
nisträger durch § 5 Absatz 7 nur unzureichend geschützt 
würden. 

Die Fraktion DIE LINKE, schließt sich der Kritik der 
Fraktion der FDP an und erklärt, die Anhörung habe ein 
erschütterndes Bild geboten. Die Sachverständigen hät- 
ten einhellig erklärt, dass das Gesetz das angestrebte Ziel 
nicht erreichen könne. Trotz der von der Koalition vorge- 
nommenen Änderungen sei es immer noch so, dass mit 
diesem Gesetzentwurf unter dem Dach des Bundesamtes 
für Sicherheit in der Informationstechnik (BSI) eine gi- 
gantische Kontrollbehörde für den gesamten IT-Bereich 
geschaffen werden solle. Des Weiteren sehe der Gesetz- 
entwurf weiterhin vor, das Surfverhalten durch die Be- 
hörden des Bundes umfassend zu protokollieren. 

Die Fraktion BÜNDNIS 90/DIE GRÜNEN räumt ein, 
dass der Gesetzentwurf durch den Änderungsantrag ver- 
bessert werde. Nach wie vor sei aber nicht einzusehen, 
warum der Umgang mit Zufallsfunden breit im Gesetz- 
entwurf geregelt werden müsse, wenn es wirklich nur um 
die Sicherheit in der Informationstechnik gehe. Es würde 
insofern reichen, bestimmte Ausnahmen für „ticking- 
bomb-Szenarios“ vorzusehen. Bei der Übermittlung habe 
man zwar die Hürden höher gelegt, es könne aber weiter- 
hin zu viel vom BSI an andere Behörden weitergegeben 
werden. Die vorgesehene Pseudonymisierung könne 
auch wieder aufgehoben werden. Der Schutz von Berufs- 
geheimnisträgem schließlich sei zu schwach und willkür- 
lich ausgestaltet. 


Berlin, den 27. Mai 2009 

Frank Hofmann (Volkach) Gisela Piltz 
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